Probleme mit google.de und google.com

[Sören]

Hallo,
wir haben hier folgendes Problem: Bei dem Aufruf von 'google.de' und 'google.com' werden immer folgende zwei Texte angezeigt ohne dass man Google benutzen könnte (ein Virus ist fast auszuschließen):

Text 1 in simplem html-Text:
"Are you looking for a search engine?
If you are seeing this page, it is because you have downloaded a malicious program that is keeping you from visiting the page you intended.

Please visit the following URL for information on fixing this problem:

http://www.tweakxp.com/forum/forum_posts.asp?TID=3367 "

Text 2 in simplem HTML-TEXT
"Are you trying to get to Google?
Your computer is running software that doesn’t allow you to use Google.
You’re seeing this page because your computer is trying to send you to a website that is pretending to be Google. Over the past few weeks, you may have seen a website that looks like Google, but launches pop-up windows and does not work like Google. That page is not affiliated with Google in any way and is intended to deceive you.

Why is this happening?
Most likely a program was installed on your computer automatically and without your knowledge when you downloaded an otherwise harmless piece of software. Or you may have been tricked into clicking on a disguised download button while visiting a website.

What can I do about it?
This problem can be fixed fairly easily, but will require that you make changes in a file that is part of your computer’s operating system. You should always be cautious when making these kinds of adjustments, as they may affect the performance of your computer. If you are not comfortable doing this yourself, you may want to print out this page and show it to someone whose technical knowledge you trust.

What steps do I take?
The first step is to remove the entry for Google from your hosts file. This entry is telling your computer where to send your computer instead of to Google.

In Windows, open the Notepad program. You can do this by going to the Start menu in the lower left of your screen, selecting “Programs,” then “Accessories,” then “Notepad.”

In the Notepad menu, click on “File,” then “Open.” You will see a new window asking which file to open. You may need to change "Files of type" to "All Files" instead of "Text Documents". The actual file to open is listed below:

If your computer is running Windows XP, Window NT, or Windows 2000, the file is located in the folder found by following this path:

My Computer >Local Disk(C) >Windows >System32 >Drivers >etc >hosts

If your computer is running Windows 98, Second Edition or Windows ME, the file is located in the folder found by following this path:

My Computer >Local Disk(C) >Windows >hosts

Once you have opened this file, remove entirely any line of text that contains “google.com”, “www.google.com” or other Google domains (such as “google.co.uk”). To remove the text, highlight it by dragging your pointer across the line while holding down the mouse button. Once the text is highlighted, hit the Backspace or Delete button, then save the file by going to the File menu and clicking “Save.” You can now exit Notepad.

What else can I do?
You might want to try software that attempts to detect and uninstall programs like this one. While we do not have a relationship with anyone who offers this software and we cannot endorse a particular product, the most popular programs for doing this seem to be Spybot Search and Destroy and LavaSoft's AdAware. The particular program affecting your computer is relatively new, so these products might not be able to detect and repair this type of problem yet.

The next step is to learn more. You can visit http://www.doxdesk.com/parasite/ to review information about a number of known self-installing software programs. Several articles on the web may be helpful, such as

· http://www.theage.com.au/articles/20...172507212.html
· http://news.com.com/2100-1023-877568.html
· http://news.com.com/2100-1023-257592.html

Investigate individual programs using search engines. Try keywords such as "spyware," "scumware," and "adware."
Once you’re informed, take action. Help your family and friends avoid these annoying programs. If you can find the site that installed this software on your computer, let them know how you feel about it. You might also want to track down companies that benefit from having your web visits redirected, and share your feelings with them.

Finally, it's quick and easy to file a complaint with the Federal Trade Commission (FTC). This U.S. government agency handles complaints about deceptive or unfair business practices. To file a complaint, visit: http://www.ftc.gov/ and click on "File a Complaint Online", or call 1-877-FTC-HELP. Or write to:

Federal Trade Commission
CRC-240
Washington, D.C. 20580

If your complaint is against a company in another country, you can file it at http://www.econsumer.gov/.
"

[Cool]

krass...

ich würd mal adaware laufen lassen... vielleicht bringts was...

[Silentgreen]

ohne google könnt ich nicht leben!

ne aber das ist doch ziemlich link.. einfach google zu verbieten,.. verbieten! tzzz

[NastyFrog]

Boa, muss ja schrecklich sein so ganz ohne Google. Gehn auch die anderen urls wie www.ichfinds.net nicht?

[NastyFrog]

Hmm, aber beim ersten Link da is doch ein Anleitung, wie mans loswird....

Zitat:

How do I fix my computer?

1. You need to navigate to where the “hosts” file is on your computer. Below is a list of what directory the file is in depending on your operating system that you should navigate to using the my computer icon on your desktop or in your start menu:

Windows 95/98/Me: c:\windows\

Windows NT/2000/XP Pro: c:\winnt\system32\drivers\etc\

Windows XP Home/XP Pro: c:\windows\system32\drivers\etc\

2. Delete the file called “hosts”. If you can not delete the file try renaming it. If you still can not delete or rename the file then boot your computer in safe mode by pressing F8 when you computer boots up right after the power on self test screen.

3. The final step is to try to remove this program that is hijacking your “hosts” file. As of 10:00 AM September 25 there is no program that will just remove the malicious program yet. In the mean time, download Spybot Search & Destroy by clicking here. Once you have the program installed, open SpyBot and select the "immunize" icon on the left and then check the box "lock hosts file read-only as protection against hijackers". This will stop the program from modifying your "hosts" file again.

[rena]

Hilft dir das?
http://www.kraftvoll.ch/area51_1.php
Hab ich zum gleiche Problem vor ein paar Tagen in der Newsgroup gelesen. Ungetestet, ohne Garantie auf Rechnerschäden *g* und nur als Hintergrundinfo, was die Hosts-Datei macht ... das dort vorgeschlagene File würd ich allerdings nicht benutzen.

Gruß
rena

[Sören]

Die Antwort von Renas Link ist schon recht plausibel. Gebe ich meinem Kollegen mal als Tipp.

http://www.ichfinds.net/ kannte ich noch gar nicht


Danke euch.
Rückmeldung kommt noch.

[Thorsten [Flash4all]]

warst wohl einer der ersten Betroffenen..

aktuell die news bei heise.de

Zitat:

Trojaner leitet Browser auf falsche Seiten [Update]

Seit dem gestrigen Mittwoch mehren sich Meldungen über Vorfälle, bei denen sich Anwender mit dem Trojaner QHosts-1 infiziert haben. QHosts-1 befällt Rechner über eine bisher nicht gepatchte Lücke im Internet Explorer 5, 5.5 und 6.0. Das Aufrufen einer HTML-Seite genügt bereits, um sich mit dem Trojaner zu infizieren.

Der Schädling modifiziert auf dem PC die Netzwerkeinstellungen zur Namensauflösung von Servern im Internet. Dazu ersetzt er den Eintrag des DNS-Servers durch neue IP-Adressen. Zusätzlich generiert er eine neue Hosts-Datei, um Anfragen an bekannte Suchmaschinen wie etwa Google, Lycos, Altavista, Yahoo oder Ask an eine weitere Adresse umzuleiten. Ruft man im Browser nun eine Seite auf, weiß man nicht genau, wo man landet. Derjenige, der die Server kontrolliert, kann bestimmen, wohin die Browser- und Netzwerkanfragen umgeleitet werden. Man-in-the-Middle-Attacken zum Mitlauschen von Verbindungen sind damit relativ einfach, selbst wenn die Verbindungen mit SSL gesichert erscheinen.

Qhosts-1 ist ein Trojaner, dem die Fähigkeit fehlt, sich selbst zu verbreiten. Daher nutzt er die bekannte Lücke im Internet Explorer. Da im Moment kein Patch für diese Lücke verfügbar ist, hilft das Abschalten von Active Scripting und ActiveX -- allerdings nur beim IE in der Version 6, bei älteren Versionen funktioniert der Angriff dennoch. Personal Firewalls und Antivirenprogramme können den Angriff über diese Lücke zwar manchmal erkennen und unterbinden, dies ist jedoch kein sicherer Schutz, da die Exploits sehr stark variieren. Anwender sollten sich genau darüber im Klaren sein, welche Webseiten sie besuchen, sofern sie den Internet Explorer benutzen. Bis zum Erscheinen eines funktionierenden Sicherheitsupdates sollten Anwender andere Browser wie Opera oder Mozilla einsetzen.
...
.............

http://heise.de/newsticker/data/dab-02.10.03-000/


Eine Anleitung wie man den Trojaner entfernt findet ihr (auf english) hier:
http://securityresponse.symantec.com...an.qhosts.html

Thorsten

[Sören]

cool. War einer der ersten *stolz*.

Nene. War gar nicht selber betroffen. Nur zwei Kollegen die wohl (wie man jetzt sieht) die falschen Seiten aufgerufen hatten...

War allerdings nicht erst seit gestern, sondern die lebten mit dem Problem schon ne Woche. hehe

An sowas is immer die etc/hosts schuld. Bei mir ist die z.b. voll mit dem ganzen Werbebannerzeugs auf Webseiten. Die Domains leiten dann um auf ne lokale HTML-Datei (Inhalt: "Hier wollte ein Schwacko was verkaufen"). Ist ziemlich lang die Liste und man kann sie im Netz runterladen.

Der Effekt tritt auch auf, wenn eine vermeintliche Startseite festgelegt ist, in den Eigenschaften aber trotzdem about:blank drin steht... hosts aufmachen, eintrag killen und fertig.